网络安全等级保护：什么是关键信息基础设施

　　：国家关键基础设施是指对美国而言重要的实际或虚拟的系统和资产，此类系统和资产的缺乏或破坏将对国家安全、国家经济安全、国家公共健康和安全或以上事项的任何组合产生削弱影响。

　　美国在2009年《国家基础设施保护计划》中定义了国家关键信息基础设施：通信和信息系统，以及这些系统中的信息数据，其中通信和信息系统由对各类型数据来进行处理、储存和通信的软硬件组成，其包括计算机信息系统、控制管理系统和网络。

　　2013年2月，奥巴马政府发布的第21号总统令《提高关键基础设施的安全性和恢复力》确定了其范围，其范围确定了17类关键基础设施部门，包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统。

　　国际上对关键信息基础设施(CII) 的定义是：维系全球或国家的关键基础设施服务持续运转的基础网络、重要信息系统、信息数据等，是确保一国关键基础设施服务得以持续运转的不可或缺的要素，在很大程度上由信息和电信部门组成，还包括电信、计算机/软件、互联网、卫星、光纤等成分。这个术语还被用来统称相互连接的计算机、网络及在其上传送的关键信息流。

　　国际电信联盟的定义是：国家关键信息基础设施是指支撑物理国家关键基础设施的信息系统。

　　另外，欧盟方面有关关键信息基础设施保护，发布了NIS指令，从了解的资料看NIS指令核心保护关键信息基础设施。

　　关键信息基础设施这个概念中央第一次正式提出，是2014年2月27日召开的中央网络安全和信息化领导小组第一次会议，习指示，“要抓紧制定互联网内容信息管理、国家关键信息基础设施保护等方面的专项法规，解决工作急需”，随后下发的文件中提到，要建设网络强国，要有良好的信息基础设施，形成实力丰沛雄厚的信息经济，要完善关键信息基础设施保护等法律和法规等。

　　我们看到现有材料是，在网络安全等级保护制度在建立过程中，公安部和有关部门研究、借鉴了美国等西方国家保护关键信息基础设施的经验和做法。结合我国国情，研究认为：关键信息基础设施是指关系国家安全、国计民生的基础信息网络、重要信息系统、大数据和大型公共服务平台。电信网、广电网、互联网、移动互联网、物联网、大型业务专网等重要网络设施，重要行业部门的核心业务系统、卫星通信系统、工业控制管理系统、重点网站等重要信息系统，大型云计算中心、云服务平台、大数据中心等大型服务设施和大数据，涵盖在我国等级保护管理对象的范围内。

　　《网络安全法》第三十一条是这样描述：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

　　我们知道，关键信息基础设施要求在等级保护的基础上实行重点保护。如何理解这个重点保护呢？确定关键信息基础设施，不是随意确定的 应当在第三级(含)以上网络中确定关键信息基础设施， 要落实公安机关、保密部门、密码部门的保卫、保护、监管责任，落实网络运营者和行业主管部门的主体责任等。在确定范围这个事情上，你能够理解关键信息基础设施是第三级以上网络的一个子集，而且是一个重点子集。

　　我们若要想对关键信息基础设施的保护有更多的了解，可以借鉴的材料有 《关键信息基础设施安全保护条例（征求意见稿）》等文件，宣贯工作已经举办过多次，相关国家标准如《信息安全技术 关键信息基础设施网络安全保护基础要求》《信息安全技术 关键信息基础设施安全保障指标体系》《信息安全技术 关键信息基础设施安全控制措施》等处于征求意见稿阶段，尚在制定中。